iptables规则下发的过程

已于 2024-03-16 14:05:55 修改
阅读量880 收藏 22
点赞数 26
文章标签: 服务器 网络 运维
于 2024-01-04 22:25:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mrtyxr/article/details/135047566
版权
本文探讨了iptables规则从用户态到内核态的下发过程,包括配置、下发和内核处理。首先介绍iptables的四表五链结构,然后详细阐述了规则配置、DNAT和SNAT配置示例,以及通过setsockopt的下发流程。内核通过IPT_SO_SET_REPLACE进行处理,主要涉及do_replace函数。
摘要由CSDN通过智能技术生成

 背景

        最近在学习研究Linux内核NAT处理逻辑(Linux内核NAT处理),发现要想理解NAT的处理必须弄清iptables规则在Linux 内核中是如何维护的,进而想要知道iptables规则配置从用户态到内核态,一步步是如何将iptables规则下发到内核的。

过程

        从下发流程看大致分为以下几步:

        1)用户态通过应用层CLI命令配置

        2)用户态CLI命令参数解析,转换成iptables 命令配置形式通过system下发

        3)iptables内部建立与内核socket通信,通过setsockopt向将命令下发到内核

        4) 内核sockopts(应用层和内核通信的一种方式)处理,将iptables规则存入对应的表,对应的链中。

        第一步可以有不同的实现,我们从iptables规则配置开始讲起。

iptables规则配置

        众所周知,iptables规则通过“四表五链”维护,四表:raw表,mangle表,filter表,nat表;五链对应netfilter框架中的5个hook点,即:PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING;

 iptables命令配置参数

参数 含义、用法

-A chain

 在指定链中添加一条规则
-D chain /chain rulenum 从指定链中删除匹配的规则
-I chain [rulenum] 在指定链的指定规则前插入一条规则,默认在第1条前插入
最低0.47元/天 解锁文章
进化中的码农
关注
  • 26
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
[iptables] 使用libiptc下发iptables规则
hanfs390的博客
05-09 3362
1、库libiptc 什么是libiptc libiptc是用于与netfilter通信的库,netfilter是负责防火墙和数据包过滤的内部内核代码。这段代码和iptables由Paul“Rusty”Russell编写。iptables是使用libiptc调用开发的,以完成工作。 如何获取这些知识 文档参考地址: http://tldp.org/HOWTO/Querying...
IPtables 处理流程
yrx0619的专栏
12-10 428
nat表 举个例子: A有一台主机 a0:192.168.1.1/24 一个公网IP:10.10.10.10(假设) B有一台主机: b0:192.168.2.1/24 一个公网IP:11.11.11.11(假设) 现在需求是A和B之间主机需要能够互相访问。 a0主机访问b0主机,这就需要a0和b0 配置nat转换。 首先a0发送的报文通过nat的规则,将源目IP需要转换成公网IP,因为是在出方向...
分析k8s service生成的iptables规则数量
Ivan_Wz的博客
12-30 1124
分析k8s service生成的iptables规则数量前言一、分析过程1.集群内调用service2.cluster ip工作原理3. 从output链开始看实验过程的截图,可参照此流程做链路规则分析pod与service数量1-2pod与service数量2-2总结 前言 本文通过实际查看规则表确认Pod数量、Service数量、节点数量和iptables规则数量的对应计算关系 提示:以下是本篇文章正文内容,以下计算方式可供参考 一、分析过程 1.集群内调用service 集群内POD调用serv
12张图带你轻松了解 calico 6种场景下宿主机和pod互访的iptables规则链流转情况【上】
weixin_42072280的博客
01-13 2567
iptables -t raw -A OUTPUT -p icmp -j LOG iptables -t raw -A PREROUTING -p icmp -j LOG iptables -t raw -A OUTPUT -p icmp -j TRACE iptables -t raw -A PREROUTING -p icmp -j TRACE 场景一: 从宿主机到容器 # master节点 tcpdump -nn -i cali8b980351434 -w 1-master...
iptables详解
Careless的博客
09-30 8166
iptables详解 目录iptables详解iptables 介绍iptables 总览Iptables 解析常用的 iptables 命令SNAT与DNAT iptables 介绍 iptables 是 Linux 中比较底层的网络服务,它控制了 Linux 系统中的网络操作,在 CentOS 中的 firewalld 和 Ubuntu 中的 ufw 都是在 iptables 之上构建的,只为了简化 iptables 的操作,因此,对于学习了解 iptables 对我们了解 firewalld 和 u
Linux防火墙机制Netfilter/iptables简介
deanzhang5757的专栏
12-27 1313
Netfilter是什么? Netfilter是Linux的第三代防火墙,因其比之前的两种防火墙ipfwadm及ipchains出色而被Linux组织作为默认的防火墙。Netfilter是自由软件,但在各方面均不逊于商业版的防火墙。 Netfilter与Linux的关系 Netfilter与Linux是两个相互独立的组织,在Linux 2.4早期的版本,并没有包含Netfilter的功能,到后期的...
netfilter&iptables探讨(1)——基本原理
dillanzhou的博客
08-07 599
在Linux内核中,netfilter和iptables就提供了这样一套内核网络定制机制。本文将简单介绍netfilter和iptables的原理、用途以及两者的关系,从而说明这套机制是如何实现通过用户态的简单配置,就能修改linux内核网络行为的。对netfilter和iptables的具体实现和用法将在后续的文章中讨论。......
linux学习之防火墙--iptables
YU__MU__的博客
07-10 648
为了更方便的管理,我们还可以在某个表里面创建自定义链,将针对某个应用程序所设置的规则放置在这个自定义链中,但是自定义链接不能直接使用,只能被某个默认的链当做动作去调用才能起作用,我们可以这样理解,自定义链就是一段比较”短”的链子,这条”短”链子上的规则都是针对某个应用程序制定的,但是这条短的链子并不能直接使用,而是需要”焊接”在iptables默认定义链子上,才能被IPtables使用,这就是为什么默认定义的”链”需要把”自定义链”当做”动作”去引用的原因。
深入理解netfilter和iptables
wq897387的专栏
07-13 745
深入理解netfilter和iptables
linux 下的 iptables/ netfilter 防火墙 深度理解 中篇
bie_niu1992的专栏
05-29 828
一 概述 前篇主要提到了用户空间 iptables 1.3.5 源码对规则的处理。但是并没有涉及内核空间netfliter 模块的处理。用户空间上的规则要生效最终肯定是通过传给内核空间的netfilter,让netfliter这个老大哥处理。因此抛出两个问题。 用户空间的是怎么获取内核空间已经存在的规则,或者用户空间是如何将需要netfilter处理的规则下发给内核?简而言之,规则在用户空间是如...
linux审计进程规则,linux audit审计(5)--audit规则配置
weixin_39552538的博客
04-29 1398
audit可以配置规则,这个规则主要是给内核模块下发的,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志。规则类型可分为:1、控制规则:控制audit系统的规则;2、文件系统规则:也可以认为是文件监控,可以监控一个特定文件或者一个路径。3、系统调用规则:可以记录特定程序的系统调用。audit规则可以通过auditctl,在命令行里输入,这些设置的规则为临时的,当系统重启后...
Raspberry Pi远程控制与指令下发
# 1. 介绍Raspberry Pi远程控制的必要性 在本章中,我们将探讨Raspberry Pi远程控制的重要性及必要性,深入了解远程控制背景、现状以及其在Raspberry Pi中的重要意义和应用场景。 ## 1.1 Raspberry Pi远程控制的...
微服务CI/CD实践(二)服务器先决准备
lbmydream的博客
08-28 625
微服务CI/CD实践系列: 微服务CI/CD实践(一)环境准备及虚拟机创建 微服务CI/CD实践(二)服务器先决准备 微服务CI/CD实践(三)gitlab部署 微服务CI/CD实践(四)nexus3部署 微服务CI/CD实践(五)数据库,redis,nacos等基础中间件部署 微服务CI/CD实践(六)Jenkins部署 微服务CI/CD实践(七)Server服务器环境初始化 微服务CI/CD实践(八)Jenkins + Dokcer 部署微服务后端项目 微服务CI/CD实践(九)Jenkins +
阿里云服务器 篇七:服务器热备份/定时备份
生活在别处
08-24 1296
Python 客户端用于百度云(个人云存储)百度云/百度网盘 Python 客户端。它主要用于在 Linux 环境下通过命令行操作百度云盘的 2TB 存储空间。是一个Github开源项目,这是一个百度云/百度网盘Python客户端。: 列出百度 PCS 中的 ‘remotepath’ 目录。: 从本地目录同步到远程目录。: 在百度云中创建一个目录。
Nginx: 负载均衡场景下上游服务器异常时的容错机制
最新发布
Wang的专栏
08-28 564
Post请求,它就是一个非幂等的 http 请求方法,因为可能会在后端服务器上创建一些资源。所谓幂等的请求, 是指这个请求发出去之后,无论请求多少次,得到的结果通常是一致的。默认值: proxy_next_upstream error timeout;非幂等请求,可能对服务器造成不可预见的一些错误,在某些场景下是很危险的。2 )proxy_next_upstream_timeout 指令。3 )proxy_next_upstream_tries 指令。1 )proxy_next_upstream 指令。
服务器远程管理
m0_64827698的博客
08-26 462
SSH两种级别的安全认证:基于口令(口令在网络上传播,易受中间人攻击),基于密钥(传公钥,公钥是否相同,公钥加密质询,私钥解密)(密钥不在网络上传)2.启用服务services.msc(telnet)/配置远程桌面服务gpedit.msc(rdp)/使⽤SSH,你可以把所有传输的数据进⾏加密,这样“中间 ⼈”这种攻击⽅式就不可能实现了。实验总结:在windows开启telnet服务(2019不支持),RDP服务,SSH。SSH协议允许⽤户通过配置⽂件⾃定义选择加密算法,以优化安全性和性能。
黑神话:悟空游戏用的什么服务器
热门推荐
petaexpress的博客
08-21 1万+
黑神话:悟空游戏用的什么服务器?《黑神话:悟空》游戏使用的是基于云计算的强大服务器,具体型号和配置未公开。这些服务器在游戏发布初期就表现出极强的处理能力和稳定性,尽管同时在线人数一度突破百万,但整体运行仍然十分稳定。
JavaEE-TCP协议
2301_78493961的博客
08-28 493
介绍了TCP的十个常用核心机制,也是程序员必备理解的关于TCP协议的基本知识。
iptables规则
11-02
iptables规则是一种Linux系统下的防火墙规则,用于控制网络数据包的流动。它可以通过添加、删除、修改规则来实现对网络数据包的过滤、转发、伪装等操作。常用的命令包括iptablesiptables-save和iptables-restore等...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值